Créé en 2014, le Projet Zéro est une initiative de Google qui identifie les failles de sécurité dans les logiciels, avertit les responsables et fixe un délai pour que les corrections soient apportées. Cette dynamique permet à l’entreprise d’identifier quelles organisations sont plus ou moins agiles dans ce travail. Le dernier rapport montre que le Les développeurs Linux sont les plus rapides ; Oracle et Microsoft, les organisations les plus consommatrices de temps.
Tux sur Ubuntu Linux (Image d’illustration : Emerson Alecrim/)
L’objectif de Project Zero est de rendre Internet plus sûr, selon Google. Ainsi, lorsqu’ils découvrent une faille de sécurité, les analystes de Project Zero informent l’organisation responsable du service ou du logiciel vulnérable et lui donnent un délai de 90 jours avant que les détails du problème ne soient rendus publics.
La plupart des organismes notifiés respectent ce délai. Mais bien sûr, plus tôt la solution est présentée, mieux c’est. Sur ce point, les développeurs du noyau Linux ont été exemplaires.
Entre janvier 2019 et décembre 2021, ils ont résolu 96 % des problèmes dans les 90 jours et, en moyenne, ont mis 25 jours pour trouver des solutions. Google lui-même et Mozilla apparaissent dans la séquence avec des moyennes de 44 et 46 jours, respectivement.
Dans le classement Project Zero, Microsoft apparaît en avant-dernière position, avec une moyenne de 83 jours. Mais il est important de prendre en compte quelle entreprise est l’une de celles qui a eu le plus de bugs signalés : en tout, 80 entre 2019 et 2021, dont 61 résolus en 90 jours (Linux a enregistré 25 vulnérabilités sur la période).
Toujours sur Microsoft, les analystes de Project Zero expliquent que le long temps de correction moyen peut être lié au fait que la société publie bon nombre de ses mises à jour dans le cadre du calendrier Patch Tuesday, lorsqu’un package de mise à jour de sécurité est mis à disposition le lundi mardi de chaque mois.
En termes de nombre de bogues, Apple était le champion, avec 84 bogues signalés, dont 73 ont été corrigés en 90 jours. En moyenne, la société de Cupertino a mis 69 jours pour organiser les corrections.
Au bas du classement se trouve Oracle, qui n’a signalé que sept pannes, mais n’en a corrigé que trois en 90 jours. L’entreprise a enregistré en moyenne 109 jours pour corriger les problèmes.
| Total de bugs | Réparé en 90 jours | Fixé en pénurie | Délai dépassé | moyenne des jours | |
| Pomme | 84 | 73 (87 %) | 7 (8%) | 4 (5%) | 69 |
| Microsoft | 80 | 61 (76 %) | 15 (19 %) | 4 (5%) | 83 |
| 56 | 53 (95%) | 2 (4%) | 1 (2 %) | 44 | |
| Linux | 25 | 24 (96 %) | 0 (0%) | 1 (4 %) | 25 |
| Adobe | 19 | 15 (79 %) | 4 (21%) | 0 (0%) | 65 |
| MozillaComment | dix | 9 (90 %) | 1 (10 %) | 0 (0%) | 46 |
| Samsung | dix | 8 (80%) | 2 (20%) | 0 (0%) | 72 |
| Oracle | 7 | 3 (43%) | 0 (0%) | 4 (57%) | 109 |
| Les autres | 55 | 48 (87 %) | 3 (5%) | 4 (7 %) | 44 |
| Total | 346 | 294 (84 %) | 34 (10%) | 18 (5 %) | 61 |
Contents
Project Zero considère les logiciels de différents types, mais il y a une préoccupation particulière avec les navigateurs. Eh bien, le rapport souligne que Chrome est le navigateur qui a eu le plus de bugs signalés sur la période entre 2019 et 2021 : 40. En revanche, le délai moyen de présentation des corrections par Google n’était que de 30 jours.
WebKit (le moteur Safari) apparaît ensuite avec 27 bogues signalés et un temps de correction moyen de 73 jours.
La situation la plus confortable est celle de Firefox, qui n’avait que huit bugs signalés et une moyenne de 38 jours pour la présentation des solutions.
Google Chrome (image : Emerson Rosemary/)
Le temps de correction moyen s’améliore
Une découverte importante faite par les analystes de Project Zero est que le temps moyen nécessaire aux organisations pour présenter des solutions aux vulnérabilités signalées a diminué. En 2021, cette mesure s’établissait à 52 jours, contre la moyenne de 80 jours enregistrée en 2018.
Une autre perception positive est que le nombre de bogues non corrigés à temps a diminué. Toujours dans le même ordre d’idées, Google note que seuls 14% des bugs ont été corrigés dans le délai de grâce (un délai supplémentaire de 14 jours après le délai de 90 jours qui peut être accordé si le développeur confirme que le correctif est en route ).
Le rapport complet est disponible sur le blog Project Zero.
